ในระบบนิเวศของอุปกรณ์เคลื่อนที่ การละเมิดอาจคุกคามรายได้ การเติบโต และความไว้วางใจของผู้ใช้ Google Play มีบริการตรวจหาภัยคุกคามที่ยืดหยุ่นอย่าง Play Integrity API เพื่อช่วยให้นักพัฒนาแอปเติบโต Play Integrity API จะช่วยคุณยืนยันว่าการโต้ตอบและคำขอของเซิร์ฟเวอร์นั้นเป็นของจริง โดยมาจากแอปที่ไม่มีการแก้ไขในอุปกรณ์ Android ที่ผ่านการรับรอง ซึ่งติดตั้งโดย Google Play

ผลลัพธ์ที่ได้นั้นมีความสำคัญอย่างยิ่ง โดยแอปที่ใช้ฟีเจอร์ Play Integrity จะพบการใช้งานที่ไม่ได้รับอนุญาตน้อยลง 80% โดยเฉลี่ยเมื่อเทียบกับแอปอื่นๆ ปัจจุบัน ผู้นำในหมวดหมู่ต่างๆ ซึ่งรวมถึง Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm และ Remini ใช้บริการนี้เพื่อช่วยปกป้องธุรกิจของตน

เรายังคงปรับปรุง Play Integrity API อย่างต่อเนื่องเพื่อให้ผสานรวมได้ง่ายขึ้น มีความยืดหยุ่นต่อการโจมตีที่ซับซ้อนมากขึ้น และช่วยกู้คืนผู้ใช้ที่ไม่เป็นไปตามมาตรฐานความสมบูรณ์หรือพบข้อผิดพลาดได้ดียิ่งขึ้นด้วยข้อความแจ้งการแก้ไขในแอป Play ใหม่

ตรวจจับภัยคุกคามต่อธุรกิจ

Play Integrity API มีการตัดสินที่ออกแบบมาเพื่อตรวจหาภัยคุกคามที่เฉพาะเจาะจงซึ่งส่งผลต่อบรรทัดล่างสุดของคุณในระหว่างการโต้ตอบที่สำคัญ

• การเข้าถึงที่ไม่ได้รับอนุญาต: accountDetailsผลการตัดสินช่วยให้คุณพิจารณาว่าผู้ใช้ติดตั้งหรือชำระเงินสำหรับแอปหรือเกมของคุณใน Google Play หรือไม่
• การดัดแปลงโค้ด: appIntegrity ผลการตรวจสอบช่วยให้คุณพิจารณาว่ากําลังโต้ตอบกับไบนารีที่ไม่มีการแก้ไขที่ Google Play รู้จักหรือไม่
• อุปกรณ์ที่มีความเสี่ยงและสภาพแวดล้อมที่จำลอง: deviceIntegrity ผลการตัดสินช่วยให้คุณระบุได้ว่าแอปกำลังทำงานในอุปกรณ์ Android ที่ผ่านการรับรอง Play Protect ของแท้หรืออินสแตนซ์จริงของ Google Play Games สำหรับ PC หรือไม่
• อุปกรณ์ที่ไม่มีแพตช์: สำหรับอุปกรณ์ที่ใช้ Android 13 ขึ้นไป คำตอบ MEETS_STRONG_INTEGRITY ในผลการวินิจฉัย deviceIntegrity จะช่วยให้คุณทราบว่าอุปกรณ์ได้ใช้การอัปเดตความปลอดภัยล่าสุดหรือไม่ นอกจากนี้ คุณยังเลือกใช้ deviceAttributes เพื่อรวมเวอร์ชัน Android SDK ที่รับรองแล้วไว้ในการตอบกลับได้ด้วย
• การเข้าถึงที่เสี่ยงโดยแอปอื่นๆ: appAccessRiskVerdict ช่วยให้คุณตรวจสอบได้ว่ามีแอปที่กำลังทำงานอยู่ซึ่งอาจใช้เพื่อจับภาพหน้าจอ แสดงภาพซ้อนทับ หรือควบคุมอุปกรณ์ (เช่น โดยการใช้สิทธิ์การช่วยเหลือพิเศษในทางที่ผิด) หรือไม่ คำตัดสินนี้จะยกเว้นแอปที่ให้บริการเพื่อวัตถุประสงค์ด้านการช่วยเหลือพิเศษอย่างแท้จริงโดยอัตโนมัติ
• มัลแวร์ที่รู้จัก: playProtectVerdict ช่วยให้คุณตรวจสอบว่า Google Play Protect เปิดอยู่หรือไม่ และพบแอปที่มีความเสี่ยงหรือเป็นอันตรายติดตั้งอยู่ในอุปกรณ์หรือไม่
• กิจกรรมมากเกินไป: ระดับ recentDeviceActivity ช่วยให้คุณพิจารณาได้ว่าอุปกรณ์ได้ส่งคำขอโทเค็นความสมบูรณ์ในปริมาณที่สูงอย่างผิดปกติเมื่อเร็วๆ นี้หรือไม่ ซึ่งอาจบ่งบอกถึงการเข้าชมแบบอัตโนมัติและอาจเป็นสัญญาณของการโจมตี
• การละเมิดซ้ำและการใช้อุปกรณ์ซ้ำ: deviceRecall (เบต้า) ช่วยให้คุณทราบว่ากำลังโต้ตอบกับอุปกรณ์ที่คุณเคยแจ้งแล้วหรือไม่ แม้ว่าจะติดตั้งแอปอีกครั้งหรือรีเซ็ตอุปกรณ์แล้วก็ตาม การเรียกคืนของอุปกรณ์ช่วยให้คุณปรับแต่งการดำเนินการซ้ำที่ต้องการติดตามได้

คุณใช้ API ได้ในอุปกรณ์ Android ทุกรูปแบบ ซึ่งรวมถึงโทรศัพท์, แท็บเล็ต, อุปกรณ์พับได้, Android Auto, Android TV, Android XR, ChromeOS, Wear OS และใน Google Play Games สำหรับ PC

ใช้ Play Integrity API ให้เกิดประโยชน์สูงสุด

แอปและเกมประสบความสำเร็จด้วย Play Integrity API โดยทำตามข้อควรพิจารณาด้านความปลอดภัยและใช้กลยุทธ์ต่อต้านการละเมิดแบบเป็นระยะ

ขั้นตอนที่ 1: ตัดสินใจว่าต้องการปกป้องอะไร: ตัดสินใจว่าการกระทำและคำขอของเซิร์ฟเวอร์ใดในแอปและเกมที่สำคัญต่อการยืนยันและปกป้อง ตัวอย่างเช่น คุณสามารถตรวจสอบความสมบูรณ์เมื่อผู้ใช้เปิดแอป ลงชื่อเข้าใช้ เข้าร่วมเกมแบบผู้เล่นหลายคน สร้างเนื้อหา AI หรือโอนเงิน

ขั้นตอนที่ 2: รวบรวมการตัดสินความสมบูรณ์: ดำเนินการตรวจสอบความสมบูรณ์ในช่วงเวลาสำคัญเพื่อเริ่มรวบรวมข้อมูลผลการตรวจสอบ โดยไม่ต้องบังคับใช้ในตอนแรก วิธีนี้จะช่วยให้คุณวิเคราะห์คำตอบสำหรับฐานผู้ติดตั้งและดูว่าคำตอบเหล่านั้นมีความสัมพันธ์กับสัญญาณการละเมิดที่มีอยู่และข้อมูลการละเมิดในอดีตอย่างไร

ขั้นตอนที่ 3: กำหนดกลยุทธ์การบังคับใช้: กำหนดกลยุทธ์การบังคับใช้โดยอิงตามการวิเคราะห์คำตอบและสิ่งที่คุณพยายามปกป้อง เช่น คุณอาจเปลี่ยนการเข้าชมที่มีความเสี่ยงในช่วงเวลาสำคัญเพื่อปกป้องฟังก์ชันการทำงานที่มีความละเอียดอ่อน API มีคำตอบที่หลากหลายเพื่อให้คุณใช้กลยุทธ์การบังคับใช้แบบแบ่งระดับตามระดับความน่าเชื่อถือที่คุณให้แก่ชุดคำตอบแต่ละชุดได้

ขั้นตอนที่ 4: ค่อยๆ บังคับใช้และให้การสนับสนุนผู้ใช้: ค่อยๆ บังคับใช้ มีกลยุทธ์การลองอีกครั้งเมื่อผลการตัดสินมีปัญหาหรือไม่พร้อมใช้งาน และเตรียมพร้อมที่จะให้การสนับสนุนผู้ใช้ที่ดีที่มีปัญหา ข้อความแจ้งการแก้ไขในแอป Play แบบใหม่ที่อธิบายไว้ด้านล่างจะช่วยให้คุณนำผู้ใช้ที่มีปัญหาให้กลับมาอยู่ในสถานะที่ดีได้ง่ายกว่าที่เคย

ใหม่: ให้ Play กู้คืนผู้ใช้ที่มีปัญหาโดยอัตโนมัติ

การตัดสินใจว่าจะตอบสนองต่อสัญญาณความสมบูรณ์ต่างๆ อย่างไรอาจเป็นเรื่องซับซ้อน คุณต้องจัดการการตอบกลับความสมบูรณ์และรหัสข้อผิดพลาดของ API ต่างๆ (เช่น ปัญหาเกี่ยวกับเครือข่ายหรือบริการ Google Play ที่ล้าสมัย) เรากำลังทำให้กระบวนการนี้ง่ายขึ้นด้วยข้อความแจ้งการแก้ไขในแอป Play ใหม่ คุณสามารถแสดงข้อความแจ้งของ Google Play แก่ผู้ใช้เพื่อแก้ไขปัญหาต่างๆ โดยอัตโนมัติได้โดยตรงภายในแอป ซึ่งจะช่วยลดความซับซ้อนในการผสานรวม สร้างความมั่นใจว่าผู้ใช้จะได้รับประสบการณ์การใช้งานที่สอดคล้องกัน และช่วยให้ผู้ใช้จำนวนมากขึ้นกลับมาใช้งานแอปได้ตามปกติ

GET_INTEGRITY จะตรวจหาปัญหาโดยอัตโนมัติ (ในตัวอย่างนี้คือข้อผิดพลาดเกี่ยวกับเครือข่าย) และแก้ไขปัญหา

คุณทริกเกอร์กล่องโต้ตอบ  GET_INTEGRITY ซึ่งมีอยู่ในไลบรารี Play Integrity API เวอร์ชัน 1.5.0 ขึ้นไปได้หลังจากเกิดปัญหาต่างๆ เพื่อแนะนําผู้ใช้โดยอัตโนมัติให้ทําการแก้ไขที่จําเป็น ซึ่งรวมถึง

• การเข้าถึงที่ไม่ได้รับอนุญาต: GET_INTEGRITY จะนำผู้ใช้กลับไปที่การตอบกลับที่มีใบอนุญาตของ Play ใน accountDetails
• การดัดแปลงโค้ด: GET_INTEGRITY จะนำผู้ใช้กลับไปที่การตอบกลับที่ Play รู้จักใน appIntegrity
• ปัญหาเกี่ยวกับความสมบูรณ์ของอุปกรณ์: GET_INTEGRITY จะแนะนำผู้ใช้เกี่ยวกับวิธีกลับไปที่สถานะ MEETS_DEVICE_INTEGRITY ใน deviceIntegrity
• รหัสข้อผิดพลาดที่แก้ไขได้: GET_INTEGRITY จะแก้ไขข้อผิดพลาดของ API ที่แก้ไขได้ เช่น การแจ้งให้ผู้ใช้แก้ไขการเชื่อมต่อเครือข่ายหรืออัปเดตบริการ Google Play

นอกจากนี้ เรายังมีกล่องโต้ตอบเฉพาะทาง ได้แก่  GET_STRONG_INTEGRITY (ซึ่งทำงานเหมือน GET_INTEGRITY แต่จะนำผู้ใช้กลับไปยังสถานะ MEETS_STRONG_INTEGRITY โดยไม่มีปัญหาเกี่ยวกับมัลแวร์ที่ทราบในplayProtectVerdict) GET_LICENSED (ซึ่งจะนำผู้ใช้กลับไปยังสถานะที่ได้รับอนุญาตจาก Play และ Play รู้จัก) รวมถึง CLOSE_UNKNOWN_ACCESS_RISK และ CLOSE_ALL_ACCESS_RISK (ซึ่งจะแจ้งให้ผู้ใช้ปิดแอปที่อาจมีความเสี่ยง)

เลือกโซลูชันความสมบูรณ์ที่ทันสมัย

นอกจาก Play Integrity API แล้ว Google ยังมีฟีเจอร์อื่นๆ อีกหลายอย่างที่คุณควรพิจารณาเป็นส่วนหนึ่งของกลยุทธ์การต่อต้านการละเมิดโดยรวม ทั้ง Play Integrity API และการปกป้องอัตโนมัติของ Play มอบประสบการณ์การใช้งานและสิทธิประโยชน์สำหรับนักพัฒนาแอปในการปกป้องการจัดจำหน่ายแอป เราขอแนะนำให้แอปที่มีอยู่ย้ายข้อมูลไปยังโซลูชันความสมบูรณ์ที่ทันสมัยเหล่านี้แทนการใช้ไลบรารีการอนุญาตให้ใช้สิทธิของ Play แบบเดิม

การปกป้องอัตโนมัติ: ป้องกันการเข้าถึงที่ไม่ได้รับอนุญาตด้วยการปกป้องอัตโนมัติของ Google Play และดูแลให้ผู้ใช้ได้รับการอัปเดตแอปอย่างเป็นทางการต่อไป เปิดใช้การปกป้องอัตโนมัติ แล้ว Google Play จะเพิ่มการตรวจสอบโปรแกรมติดตั้งลงในโค้ดของแอปโดยอัตโนมัติ โดยนักพัฒนาแอปไม่ต้องผสานรวมใดๆ หากมีการจัดจำหน่ายหรือแชร์แอปที่ได้รับการปกป้องของคุณผ่านช่องทางอื่น ระบบจะแจ้งให้ผู้ใช้ดาวน์โหลดแอปจาก Google Play นักพัฒนาแอป Play ที่มีสิทธิ์ยังสามารถเข้าถึงการป้องกันการปลอมแปลงขั้นสูงของ Play ซึ่งใช้การปกปิดโค้ดและการตรวจสอบรันไทม์เพื่อทำให้ผู้โจมตีดัดแปลงและจัดจำหน่ายซ้ำแอปที่ได้รับการปกป้องได้ยากขึ้นและมีค่าใช้จ่ายสูงขึ้น

การรับรองคีย์แพลตฟอร์ม Android: Play Integrity API เป็นวิธีที่แนะนำในการใช้ประโยชน์จากการรับรองคีย์แพลตฟอร์ม Android แบบใช้ฮาร์ดแวร์ Play Integrity API จะดูแลการติดตั้งใช้งานพื้นฐานในระบบนิเวศของอุปกรณ์ Play จะลดปัญหาและการหยุดทำงานที่เกี่ยวข้องกับคีย์โดยอัตโนมัติ และคุณสามารถใช้ API เพื่อตรวจหาภัยคุกคามอื่นๆ ได้ นักพัฒนาแอปที่ใช้การรับรองคีย์โดยตรงแทนการใช้ Play Integrity API ควรเตรียมพร้อมสำหรับการหมุนเวียนใบรับรองรูทของแพลตฟอร์ม Android ที่กำลังจะมาถึงในเดือนกุมภาพันธ์ 2026 เพื่อหลีกเลี่ยงการหยุดชะงัก (นักพัฒนาแอปที่ใช้ Play Integrity API ไม่จำเป็นต้องดำเนินการใดๆ)

Firebase App Check: นักพัฒนาแอปที่ใช้ Firebase สามารถใช้ Firebase App Check เพื่อรับการตัดสินความสมบูรณ์ของแอปและอุปกรณ์ที่ขับเคลื่อนโดย Play Integrity API ในอุปกรณ์ Android ที่ได้รับการรับรอง พร้อมกับการตอบกลับจากผู้ให้บริการการรับรองแพลตฟอร์มอื่นๆ หากต้องการตรวจหาภัยคุกคามอื่นๆ ทั้งหมดและใช้ฟีเจอร์อื่นๆ ของ Play ให้ผสานรวม Play Integrity API โดยตรง

reCAPTCHA Enterprise: ลูกค้าองค์กรที่กำลังมองหาโซลูชันการจัดการการฉ้อโกงและบ็อตแบบครบวงจรสามารถซื้อ reCAPTCHA Enterprise สำหรับอุปกรณ์เคลื่อนที่ได้ reCAPTCHA Enterprise ใช้สัญญาณการป้องกันการละเมิดบางอย่างของ Play Integrity API และรวมสัญญาณเหล่านั้นเข้ากับสัญญาณ reCAPTCHA โดยไม่ต้องกำหนดค่าใดๆ

ปกป้องธุรกิจของคุณเลย

Play Integrity API เป็นเครื่องมือสำคัญในการปกป้องการเติบโตของคุณด้วยรากฐานที่แข็งแกร่งด้านความปลอดภัยที่สนับสนุนด้วยฮาร์ดแวร์และกล่องโต้ตอบการแก้ไขอัตโนมัติใหม่ที่ช่วยลดความซับซ้อนในการผสานรวม

เริ่มต้นโดยอ่านเอกสารประกอบของ Play Integrity API